広告
posted by fanblog
2023年11月15日
国立環境研究所のオンラインストレージ「Proself」における不正アクセス事案
国立環境研究所(国環研)が使用していた「Proself」の脆弱性を突いたサイバー攻撃により、個人情報を含むデータの外部流出の可能性が浮上。
システムで何が起きたか
国環研が使用するオンラインストレージサービス「Proself」に対して、9月15日から28日にかけて不正アクセスが発生しました。この攻撃は、未知の脆弱性(CVE-2023-45727)を利用したもので、国環研は10月5日にその痕跡を発見しました。
原因
この脆弱性は「XML外部実体参照(XXE)」の一種で、Proselfの提供元ノースグリッドも当初は把握していませんでした。この攻撃により、アカウントのリストやパスワードのハッシュ値が盗まれ、それを利用した不正アクセスが行われました。
被害状況
不正アクセスにより、国環研職員の健康診断受診者名簿や外部機関の委員会名簿、研究所Webサイトからのデータダウンロードに使用されたメールアドレスなどの個人情報が流出した可能性があります。ただし、これらの情報の悪用は現時点で確認されていません。
対応
国環研は10月5日にProselfの使用を停止し、詳細な調査を開始しました。同時に、個人情報保護委員会に報告し、関係者への個別通知を進めています。さらに、ノースグリッドは10月4日に脆弱性を確認し、10月17日からセキュリティアップデートを提供しました。国環研は今後、セキュリティ対策の強化に努めると共に、関連機関と連携して状況把握に努めています。
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/12304532
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック